Amazon
Детские умные часы позволяют следить за владельцем
Исследователи безопасности обнаружили уязвимости в «умных часах» для детей, которые позволяют незнакомцам следить за несовершеннолетними.
Проблемы нашлись в ряде детских умных часов с поддержкой GPS. Исследование проводили в компании Rapid7 Inc под руководством Дерала Хейланда.
Дерал с колегами приобрели на Amazon три разных бренда: Children’s SmartWatch, G36 Children’s Smartwatch, а также SmarTurtles Kid’s Smartwatch. В ходе расследования исследователи установили, что все три продукта имеют практически одинаковое аппаратное и программное обеспечение, поэтому все описанные результаты влияют на все три гаджета.
Хотя только одна из этих проблем связана с технической уязвимостью — отсутствием функциональной фильтрации SMS — две другие проблемы, которые исследователи определили, были тоже тревожными: это недокументированный пароль по умолчанию, используемый для связи с устройствами, а также отсутствие связи с производителями этих устройств.
Для двух устройств поставщики, по-видимому, существуют исключительно как магазины на Amazon, и любые попытки связаться с этими поставщиками в частном порядке оказались невозможными. Третий, SmarTurtles, имеет отдельный веб-сайт, но, похоже, нет механизма для связи с этим поставщиком.
Все три модели GPS-часов используют либо SETracker, либо SETracker2 в качестве серверного облачного сервиса и мобильного приложения для платформ iPhone и Android. Обе версии SETracker предоставлены разработчиком «wcr.» Служба индексации приложений AppBrain указывает, что wcr является учетной записью разработчика, связанной с 3G Elec, китайской компанией, базирующейся в Шэньчжэне. Что касается аппаратного обеспечения, то все три устройства, по-видимому, являются фирменными ребрендами 3G Elec.
Несмотря на то, что для 3G Elec был определен адрес электронной почты, любые попытки связаться и обсудить эти проблемы были сорваны из-за технических проблем.
Для управления часами используются SMS, но часы воспринимают сообщения не только с заранее определенного телефонного номера, но и с любого другого. Отсутствие фильтрации позволяет злоумышленникам удаленно менять настройки часов.
Другое слабое место — недокументированный пароль по умолчанию, который используется для связи с устройствами. По умолчанию паролем служит строка «123 456». При этом в документации либо вообще отсутствует упоминание об этом, либо не сказано, как можно изменить пароль.
Учитывая неизменный пароль по умолчанию и отсутствие фильтрации SMS, вполне возможно, что злоумышленник, который знает номер телефона на часах может взять на себя полный контроль над устройством и, следовательно, использовать функции отслеживания и голосового чата с теми же разрешениями, что и у законного пользователя.
К сожалению, не существует какого-либо механизма для решения проблемы фильтрации SMS без обновления встроенного программного обеспечения, а такое обновление вряд ли будет реализовано, учитывая, что поставщика этих устройств трудно или невозможно найти.
